去中心化音乐平台 Audius 在周末遭到黑客攻击,威胁者窃取了超过 1800 万个 AUDIO 代币,价值约 600 万美元。

Audius 是一个托管在以太坊区块链上的去中心化流媒体平台,艺术家可以通过分享他们的音乐来赚取 AUDIO 代币,用户可以通过策划和收听内容来赚取代币。

在本周末一名黑客窃取了价值 600 万美元的 AUDIO 代币后,该平台在几分钟内做出了回应,冻结了几项服务,直到开发人员可以部署修复程序以防止代币进一步被盗。

guitar-on-fire.jpg

根据 Audius 周日发布的验尸报告,黑客利用了合约初始化代码中的一个漏洞,该漏洞允许他们重复调用初始化函数。

这使得入侵者能够将所谓的“社区金库”持有的 1850 万个 AUDIO 代币转移到他们的钱包中,实质上窃取了大量资金并改变了平台的治理动态。

接下来,攻击者尝试执行四项治理提案,其中三项失败,一项通过,将整个 Audius 社区池转移到攻击者的钱包中。

正如 Audius 在事后报告中总结的那样,没有新的代币被铸造出来,该事件对代币供应的流通没有影响。根据平台,所有剩余的用户资金现在都是安全的。

到周日晚些时候,AUDIO 代币再次完全正常运行,但“Staking”和“Delegate Manager”智能合约系统尚未恢复运行,因为仍在评估修复程序。

与此同时,攻击者在 Uniswap 上仅以 107 万美元的价格交易了他们的代币,损失了 5/6 的价值,然后通过 Tornado Cash 混合服务将其传递以隐藏被盗资金的踪迹。

被利用的系统被审计了两次

Audius 的合约系统在2020 年 8 月和2021 年 10 月接受了来自两个不同审计师的两次深入安全评估,但均未发现被利用的漏洞。

“审计不是万无一失的,在市场上花费的时间(以及由此产生的林迪效应)可以帮助建立信心,但不排除被剥削的机会,” Audius 在验尸报告中评论道。

“这些合约是在 2020 年 10 月部署的,从那时起这个漏洞就一直存在。”

这是 Audius 和其他基于区块链的项目的教学时刻,表明所需的审计并不总能找到所有可利用的错误。

Audius 承诺在未来改进的另一点是其事件响应,为此确定了几个改进点。

虽然 Audius 攻击没有 Axie Infinity 的 Ronin 桥 和 Poly Network上的攻击那么大,黑客从这两个项目中窃取了超过 6 亿美元的代币,但黑客仍然窃取了大量代币。

在这种情况下,Audius 很幸运,网络攻击是在其大多数团队成员清醒时展开的,并且可以迅速做出反应以防止进一步的盗窃。

Tags: none

我有个想法